English
Deutsch
Francais
Español
Italian
Home
Virus Info
BDS/Rukap.BQ
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
BDS/Rukap.BQ - Backdoor Server
Ver também
Sumário
Descrição completa
Estatísticas
How would you rate this information?
Worthless
Excellent
Vírus
BDS/Rukap.BQ
Data em que surgiu:
13/12/2006
Tipo:
Servidor Backdoor
Incluído na lista "In The Wild"
Não
Nível de danos:
Baixo
Nível de distribuição:
Baixo
Nível de risco:
Médio
Ficheiro estático:
Sim
Tamanho:
82.432 Bytes
MD5 checksum:
ad2b75dfc3df41f89a6c100f0e2b7a05
Versão VDF:
6.35.01.100
Versão IVDF:
6.35.01.101
Vulgarmente
Meio de transmissão:
• Não tem rotinas de propagação
Alias:
• Mcafee: BackDoor-CZY
• Kaspersky: Backdoor.Win32.Rukap.bq
• Grisoft: BackDoor.Generic3.HPB
• Eset: Win32/Rukap.BQ
• Bitdefender: Backdoor.Rukap.BQ
Sistemas Operativos:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Efeitos secundários:
• Altera o registo do Windows
• Possibilita acesso não autorizado ao computador
Registry (Registo do Windows)
São adicionados os seguintes valores ao registo do Windows de forma a que os serviços sejam carregados depois do computador ser reiniciado:
– [HKLM\SYSTEM\CurrentControlSet\Services\DirectRomp\Security]
• "Security"=
%valores hex%
– [HKLM\SYSTEM\CurrentControlSet\Services\DirectRomp]
• "Type"=dword:00000010
"Start"=dword:00000002
"ErrorControl"=dword:00000000
"ImagePath"="
%directório de execução do malware%
/
%ficheiro executado%
"
"DisplayName"="DirectX Service"
"ObjectName"="LocalSystem"
"Description"="Improve the performance of games and multimedia programs"
É adicionada a seguinte chave de registo:
– [HKLM\SOFTWARE\Microsoft\DirectRomp]
• "luko"="
%uma série de caracteres aleatórios%
"
Backdoor
É aberta a seguinte porta:
–
%directório de execução do malware%
/
%ficheiro executado%
numa porta TCP 2773 de forma a fornecer um servidor proxy Socks 5.
Contacta o servidor:
Seguintes:
• http://www.ruspromotion.net/site/**********
• http://www.clicking2rewards.com/**********
• http://www.stormpay.com/**********
• http://www.megacashclicks.net/**********
Depois de ligado obtém uma lista adicional de servidores.
Informações diversas
Anti debugging
Confirma se o seguinte ficheiro existe:
• SoftIce
Detalhes do ficheiro
Linguagem de programação:
O programa de malware está escrito em MS Visual C++.
Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
• PESpin
Veja
aqui
uma breve descrição.
Descrição adicionada por Monica Ghitun em Wed, 13 Dec 2006 15:25 (GMT+1)
Descrição adicionada por Monica Ghitun em Thu, 21 Dec 2006 15:11 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
TR/Crypt.CFI.Gen
Worm/Mytob.AD
Worm/Kidala.G
Worm/Mytob.BF
Worm/Mytob.AT
TR/Spy.ZBot.DFR
TR/VB.aei
EXP/Java.Gimsh.A.40
TR/Agent.vgo
SPR/ASF.GetCodec.Gen
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Virus Info BDS/Rukap.BQ
Print this page
.gif)
